Akiraランサムウェアグループは、初期アクセスのために1年前のSonicWall脆弱性を引き続き悪用しており、検知を回避するために事前インストール済みかつ正規のツールに依存していると、セキュリティ研究者が警告しています。
過去3か月間で、Akiraランサムウェア攻撃によりCVE-2024-40766(CVSSスコア9.3)の悪用が急増しています。これはSonicWallファイアウォールにおける不適切なアクセス制御の問題で、2024年8月に修正されました。
Akiraのキャンペーンは、Arctic Wolfが最新のレポートで警告している通り、依然として活動中であり、ランサムウェアのオペレーターはワンタイムパスワード(OTP)を多要素認証(MFA)オプションとして使用しているSSL VPNアカウントを標的にすることに成功しています。
Arctic Wolfは述べており、VPSホスティングプロバイダーから発信されるVPNクライアントのログイン、ネットワークスキャン、エンドポイント発見のためのImpacket SMBアクティビティ、Active Directoryの探索など、複数のインシデントが関連付けられると観測しています。
これらの侵入から収集されたアーティファクトは、複数の脅威アクターやアフィリエイトが関与している可能性、認証に自動化が使用されたこと、発見や横展開に市販のツールが利用されたことを示唆しています。
また、サイバーセキュリティ企業は、攻撃者がどのようにMFAを回避したのかは不明であるものの、SonicWallは8月に、SonicOSバージョン7.3未満を実行しているデバイスが「MFA認証情報に影響を与えるブルートフォース攻撃に対して脆弱であった可能性がある」と認めたことを指摘しています。
「滞留時間が日単位ではなく時間単位で測定されており、これはランサムウェアとしては最短クラスです。この脅威に対する効果的な対応のためのウィンドウは非常に狭いです。ホスティング関連のASNsからの予期しないログインや、ネットワーク上のImpacket SMBアクティビティを検知することで、侵入を初期段階で阻止することができます」とArctic Wolfは述べています。
Barracudaが分析したある攻撃では、Akiraのアフィリエイトがさまざまな事前インストール済みかつ正規のユーティリティを活用し、目立たずに活動していたことが確認されました。また、ドメインコントローラーにインストールされていたDattoのリモート監視・管理(RMM)ツールも使用されていました。
広告。スクロールして読み続けてください。
「彼らはRMMツールの管理コンソールに狙いを定め、既存のバックアップエージェントと組み合わせて、新しいソフトウェアのインストールや不審な活動としてセキュリティアラートを発生させることなく攻撃を実行しました」とBarracudaは説明しています。
ハッカーはDattoを使ってPowerShellスクリプトを実行し、サーバーの完全な制御を取得。その後、追加のツールを実行し、検知回避やセキュリティ機能の無効化のためにレジストリを変更し、ファイアウォールルールを変更するスクリプトなど、さまざまなファイルをドロップしました。
「攻撃者は、即座に警戒を引き起こすような高度な新しいマルウェアやツールを展開しませんでした。その代わり、既に存在していたDatto RMMやバックアップエージェントを利用しました。[…] 攻撃者の活動は、バックアップエージェントが定期的なジョブで正当に行うことと非常によく似ていました。そのため、すべてが通常のIT活動のように見えました」とBarracudaは指摘しています。
関連記事: Volvoグループ従業員データがランサムウェア攻撃で盗まれる
関連記事: フィンテック企業Wealthsimple、サプライチェーン攻撃によるデータ漏洩を報告
関連記事: 最近のSAP S/4HANA脆弱性が攻撃に悪用される
関連記事: カナダ外務省がサイバー攻撃の標的に
翻訳元: https://www.securityweek.com/akira-ransomwares-exploitation-of-sonicwall-vulnerability-continues/
